Ik pa laikam Eiropas Savienības institūciju dienas kārtībā parādās kādas nozares vai jautājuma vispusīga sakārtošana. Tā tas notika gan ar noziedzīgi iegūtu līdzekļu legalizācijas novēršanas jomu, gan personas datu aizsardzību, kas uzņēmumu ikdienā ienesa virkni jaunu politiku, procedūru un pienākumu. Tagad ir pienācis laiks līdzīgam vingrinājumam arī attiecībā uz digitālo risku pārvaldību finanšu nozarē.
Digitālās darbības noturības regula jeb DORA (Digital Operational Resilience Act), kas stāsies spēkā 2025. gada 17. janvārī, pirmo reizi vienā tiesību aktā apvienos noteikumus, kas attiecas uz digitālo risku finanšu nozarē. Daļa šo noteikumu jau parādās sektorālajos Eiropas Savienības tiesību aktos.
Piemēram, daļa informācijas un komunikāciju tehnoloģiju (IKT) riska pārvaldes noteikumu attiecībā uz maksājumu iestādēm ir iekļauta Maksājumu pakalpojumu direktīvā (PSD2), attiecībā uz ieguldījumu pārvaldes sabiedrībām – Finanšu instrumentu tirgus direktīvā (MiFID), utt. DORA papildinās jau pastāvošos noteikumus, ieviešot vienotu regulējumu visām finanšu iestādēm.DORA ir piemērojama ļoti plašam finanšu iestāžu lokam, tostarp kredītiestādēm, maksājumu iestādēm, elektroniskās naudas iestādēm, ieguldījumu brokeru sabiedrībām, kriptoaktīvu pakalpojumu sniedzējiem, alternatīvo ieguldījumu fondu pārvaldniekiem (ar šauru izņēmumu), apdrošināšanas un pārapdrošināšanas sabiedrībām (ar šauru izņēmumu), apdrošināšanas starpniekiem, un kolektīvās finansēšanas pakalpojumu sniedzējiem.
Būtiski, ka ar DORA finanšu sektora uzraugu lokā pirmo reizi nonāk arī kritisko IT trešo pušu pakalpojumu sniedzēji, tostarp mākoņpakalpojumu sniedzēji. Vienlaikus regulā skaidri noteikts, ka finanšu iestādes DORA noteikumus īsteno proporcionāli, tas ir, ņemot vērā savu lielumu, riska profilu, pakalpojumu un darbību veidu, apmēru un sarežģītību. Šādu apsvērumu dēļ uz dažām finanšu institūcijām attiecas mazāk stingras prasības vai izņēmumi. Turklāt vairākas DORA prasības neattiecas uz “mikrouzņēmumiem” jeb finanšu institūcijām (izņemot tirdzniecības vietas, centrālos darījumu partnerus, darījumu reģistrus un centrālos vērtspapīru depozitārijus), kuras nodarbina mazāk nekā 10 personas un kuru gada apgrozījums un/vai kopējā gada bilance nepārsniedz 2 miljonus eiro.
Kopumā DORA prasības var iedalīt četros virzienos: (i) IKT risku pārvaldība; (ii) IKT incidentu ziņošana; (iii) operacionālās noturības testēšana; un (iv) trešo pušu IKT pakalpojumu sniedzēju risku pārvaldība. Katrs virziens no finanšu iestādes prasīs būtisku sagatavošanos, jo DORA lielu uzsvaru liek uz IKT risku pārvaldības procesu dokumentēšanu un regulāru ziņošanu uzraugošajām iestādēm. Kamēr pirmie trīs virzieni vairāk vai mazāk ir iestādes iekšējā pārziņā, ceturtais varētu izrādīties ietilpīgākais, jo tajā iesaistīti arī visi finanšu iestādes IKT pakalpojumu sniedzēji. Turpmāk sīkāk tieši par to, kā finanšu iestādēm turpmāk būs jāorganizē trešo pušu IKT pakalpojumu sniedzēju risku pārvaldība un kā tam sagatavoties.
Trešo pušu IKT pakalpojumu sniedzēju risku pārvaldība
Trešo pušu IKT pakalpojumu sniedzēju risku pārvaldība pēc būtības aptver to, kā finanšu iestāde veido, uztur un izbeidz attiecības ar saviem IKT pakalpojumu sniedzējiem (substantīvais elements) un to, kā finanšu iestāde ved šo attiecību uzskaiti (formālais elements). Taču, pirms tos apskatām sīkāk, jāiepazīstas ar diviem DORA pamatjēdzieniem, proti, kas ir IKT pakalpojumi un kritiski svarīgas un svarīgas funkcijas.
IKT pakalpojumi ietver ar IKT sistēmu starpniecību sniegtus digitālos un datu pakalpojumus, tostarp aparatūras nodrošināšanu, atbalsta pakalpojumus, bet neskaitot analogās telefonijas pakalpojumus. Palīdzēt apzināt visus izmantotos IKT pakalpojumus finanšu iestādēm palīdzēs DORA īstenošanas tehniskie standarti (ITS), kuros būs ietverts (neizsmeļošs) saraksts ar IKT pakalpojumu veidiem.Kritiski svarīgas vai svarīgas funkcijas ir funkcijas, kuru traucējumi vai nepieejamība būtiski pasliktinātu finanšu iestādes finanšu darbības rezultātus vai tās pakalpojumu un darbību stabilitāti un pieejamību, vai būtiski ietekmētu finanšu iestādes spēju izpildīt tās saistības. To būtiskuma dēļ šīm funkcijām būs piemērojamas papildu prasības.
Līgumi ar IKT pakalpojumu sniedzējiem
DORA regulē finanšu iestādes rīcību pirms līguma ar IKT pakalpojumu sniedzēju noslēgšanas, līgumā obligāti iekļaujamās klauzulas un līguma izbeigšanu. Finanšu iestādes attiecībām ar katru konkrēto IKT pakalpojumu sniedzēju jābūt noregulētām vienā rakstveida līgumā. Pirms līguma noslēgšanas finanšu iestāde novērtē, vai līgums skars kritiski svarīgu vai svarīgu funkciju, jo tas noteikts, kādi noteikumi konkrētajām līgumattiecībām ir piemērojami. Finanšu iestādei jāveic arī riska novērtējums par IKT pakalpojuma ietekmi uz finanšu institūciju un visiem tās riskiem, tostarp operacionālajiem riskiem, juridiskajiem riskiem, IKT riskiem, reputācijas riskiem, datu aizsardzības riskiem, kā arī IKT koncentrācijas riskiem.
Līdzīgs novērtējums jāveic arī par IKT pakalpojuma sniedzēju. Attiecībā uz IKT pakalpojumiem, kas atbalsta kritiski svarīgas un svarīgas funkcijas, finanšu iestādei ir jāizveido rīcībpolitika, kurā cita starpā aprakstīts process IKT pakalpojumu sniedzēju atlasei un novērtēšanai, ievērojot DORA noteiktās minimālās prasības. Rīcībpolitika ir viena no ar trešo personu saistītā IKT riska stratēģijas daļām, kas finanšu iestādēm jāizstrādā, veidojot kopējo IKT riska pārvaldības sistēmu.
DORA paredz arī plašu līgumā obligāti ietveramo noteikumu katalogu, jo īpaši attiecībā uz IKT pakalpojumiem, kas atbalsta kritiski svarīgas vai svarīgas funkcijas. Tām finanšu institūcijām, kas esošos līgumus ar IKT pakalpojumu sniedzējiem veidojušas, ievērojot Eiropas Banku iestādes (EBI) Pamatnostādnes par ārpakalpojumu izmantošanu vai EBI pamatnostādnes par IKT un drošības risku pārvaldību, liela daļa no obligāti iekļaujamajiem noteikumiem būs pazīstami. Tomēr tas automātiski nenozīmē, ka esošais līgums atbilst DORA prasībām, jo DORA un pamatnostādņu katalogs nepārklājas pilnībā. Turklāt DORA IKT pakalpojumu definīcija ir daudz plašāka par EBI pamatnostādnēs lietoto ārpakalpojuma jēdzienu, kas attiecas tikai uz funkcijām, ko parasti finanšu iestāde pildītu pati. Praktiski tas nozīmē, ka finanšu iestādei ir jāidentificē visi tās izmantotie IKT pakalpojumi, pakalpojumu sniedzēji un ar tiem noslēgtie līgumi.
Tālāk jāizvērtē, vai esošais līgums jau atbilst DORA prasībām, vai tam ir nepieciešami grozījumi, vai arī (ļoti apjomīgu grozījumu gadījumā) efektīvāk ir slēgt jaunu līgumu.DORA ietver prasības arī par līgumu izbeigšanu. Finanšu institūcijām līgumā jāiekļauj vairāki apstākļi, kuriem iestājoties, tām ir tiesības līgumu izbeigt. Tie primāri saistīti ar drošības un IKT pakalpojumu sniedzēja rūpības apsvērumiem. Attiecībā uz kritiski svarīgām un svarīgām funkcijām finanšu iestādei jāievieš un jādokumentē atkāpšanās stratēģijas jeb rīcības plāns gadījumam, ja izvēlētais IKT pakalpojumu sniedzējs funkciju nevar nodrošināt vai finanšu iestāde vēlas mainīt pakalpojumu sniedzēju. Šīs atkāpšanās stratēģijas ietver vismaz alternatīvus risinājumus un pārejas plānus pakalpojumu sniedzēja rīcībā esošo pakalpojumu un datu izņemšanai un to drošai nodošanai personai, kas turpmāk nodrošinās attiecīgo funkciju. Turklāt atkāpšanās stratēģijas jāievieš jau pirms līguma noslēgšanas.
IKT pakalpojumu līgumu reģistrs
Kā minēts iepriekš – trešo pušu IKT pakalpojumu sniedzēju risku pārvaldība ietver arī uzskaites elementu. Ar trešo personu saistītā IKT riska stratēģijas otra daļa ir informācijas reģistrs, kas aptver katru līgumisku vienošanos par IKT pakalpojumu izmantošanu. Vienkārši sakot, finanšu iestādei ir jāspēj pārskatīt pilnu tās izmantoto IKT pakalpojumu ekosistēmu, kurā skaidri nošķirti tie pakalpojumu sniedzēji, kas atbalsta kritiski svarīgas funkcijas. Šis reģistrs finanšu iestādei nebūt nav jāveido no nulles, jo detalizētas prasības reģistra izstrādei tiks noteikts DORA īstenošanas tehniskajos standartos, kuru pirmais projekts jau ticis publicēts. ITS projekts ietver standarta veidnes reģistra izstrādei vai nu iestādes līmenī, vai uzņēmumu grupas līmenī. Informācijas reģistrs sastāv no 10-14 tabulu kopuma, kuras savstarpēji savieno dažādi sasaistes dati (relational keys), piemēram, līguma lietvedības numurs, IKT pakalpojumu sniedzēja identifikators un funkcijas identifikators. Kopskatā reģistra tabulas sniegs pilnīgu pārskatu pār finanšu iestādes izmantoto IKT pakalpojumu ekosistēmu.
DORA uzliktais pienākumu kopums ir apjomīgs un neapšaubāmi prasīs ievērojamus resursus jau pirms regulas spēkā stāšanās 2025. gada janvārī. Tāpēc finanšu institūcijām jau tagad, pirmkārt, jānoskaidro, vai DORA prasības uz tām attieksies, un, otrkārt, jāapzina, kādus IKT pakalpojumus tās izmanto un cik atbilstoši DORA prasībām ir līgumi, kas noslēgti ar šo pakalpojumu sniedzējiem.